+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Австрия
    28 декабря 2022

    Австрия

     

    ЗАКОНОДАТЕЛЬСТВО АВСТРИЙСКОЙ РЕСПУБЛИКИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства. Основные нормативно-правовые акты

    В Австрии сфера защиты персональных данных регулируется национальными законами и законодательством Европейского союза.

    Австрия приняла первый закон о защите данных в 1979 году (Datenschutzgesetz, DSG). В соответствии с ним каждый человек имеет право, в том числе с учетом уважения его личной и семейной жизни, на конфиденциальность касающихся его персональных данных в той мере, в какой это представляет для него достойный защиты интерес.

    Нормы, регулирующие отношения в области персональных данных, также включены в Закон о телекоммуникациях (Telekommunikationsgesetz, TKG) и другие законодательные акты.

    Материальная и территориальная сферы действия законодательства

    Положения GDPR и DSG применяются к полностью или частично к автоматизированной обработке персональных данных физических лиц, а также к неавтоматизированной обработке персональных данных физических лиц, хранящихся в файловой системе или предназначенных для хранения, за исключением случаев, предусмотренных DSG.

    Обработка персональных данных в отношении деяний, наказуемых судом или административными органами, в том числе в отношении подозрений в совершении преступлений, а также в отношении уголовных приговоров или превентивных мер, разрешена в соответствии с требованиями GDPR, если существует такое явное юридическое разрешение или обязательство.

    Основные понятия

    Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Подлежащим идентификации считается физическое лицо, которое прямо или косвенно, в частности, посредством сопоставления с идентификатором, таким как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одна или несколько особых характеристик, которые могут выражать физическую, физиологическую, генетическую, психологическую, экономическую, культурную или социальную идентичность, может быть идентифицировано как физическое или юридическое лицо.

    Биометрические данные — персональные данные, полученные с помощью специальных технических процедур, касающиеся физических, физиологических или поведенческих характеристик физического лица, которые позволяют его идентифицировать, например, изображение лица или дактилоскопические данные.

    Генетические данные — персональные данные, касающиеся унаследованных или приобретенных генетических характеристик физического лица, которые предоставляют информацию о физиологии или здоровье этого физического лица и, в частности, получены в результате анализа биологического образца соответствующего физического лица.

    Профилирование — любой вид автоматизированной обработки персональных данных, заключающийся в использовании этих персональных данных для оценки определенных личных аспектов, связанных с физическим лицом, в частности аспектов, касающихся производительности труда, экономического положения, здоровья, личных предпочтений, интересов, надежности, поведения, местонахождения.

    Псевдонимизация — обработка персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без привлечения дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подлежит техническим и организационным мерам, гарантирующим, что персональные данные не будут переданы идентифицированному или идентифицируемому физическому лицу.

    Файловая система — любой структурированный сбор персональных данных, доступный в соответствии с определенными критериями, независимо от того, ведется ли этот сбор централизованно, децентрализованно или упорядочен по функциональному или географическому признаку.

    Принципы обработки персональных данных

    Наряду с общими для европейского законодательства принципами обработки персональных данных, DSG требует, чтобы насколько это возможно и разумно, проводилось различие между персональными данными, в частности, следующих категорий:

    • лиц, которые подозреваются в совершении уголовно наказуемого деяния;
    • лиц, осужденных за правонарушения;
    • жертв преступления или лиц, в отношении которых существует предположение о том, что они являются жертвами преступления;
    • других лиц, связанных с преступлением, в частности, свидетелей, лиц, которые могут дать показания о преступлении, или лиц, контактирующих или связанных с перечисленными выше категориями лиц.

    Кроме того, DSG предписывает, насколько это возможно, различать персональные данные, основанные на фактах, и персональные оценки, основанные на субъективном мнении. Персональные оценки должны быть соответствующим образом помечены и могут быть снабжены обоснованием, позволяющим отслеживать оценку.

    Законности обработки посвящена отдельная норма DSG. Обработка персональных данных, за исключением случаев, когда она необходима для защиты жизненно важных интересов человека, является законной только в той степени, в которой она предусмотрена законом или непосредственно применимым законодательством, имеющим статус закона на национальном уровне, и необходима и соразмерна для выполнения задачи, поставленной компетентным органом.

    Обработка особых категорий персональных данных

    Обработка персональных данных, указывающих на расовое или этническое происхождение, политические взгляды, религиозные или мировоззренческие убеждения или членство в профсоюзах, а также обработка генетических данных, биометрических данных в целях идентификации физического лица, данных о состоянии здоровья или данных о сексуальной жизни или сексуальной ориентации физического лица разрешены только в том случае, если обработка абсолютно необходима и принимаются эффективные меры для защиты прав и свобод субъектов данных.

    Автоматизированное принятие решений

    По общему правилу, решения, основанные исключительно на автоматической обработке, включая профилирование, которые имеют неблагоприятные правовые последствия для субъекта данных или могут существенно повлиять на него, разрешены только в той степени, в которой они прямо предусмотрены законом или непосредственно применимым законодательством, имеющим статус закона на национальном уровне.

    Права субъекта данных

    Ответственное лицо должно передавать субъекту данных всю информацию, относящуюся к обработке, в максимально краткой, понятной и легкодоступной форме, на понятном и простом языке. Информация должна быть представлена в надлежащей форме, в случае запроса, по возможности, в той же форме, что и запрос.

    Ответственное лицо, получающее персональные данные от субъекта данных, должно предоставить ему, по крайней мере, следующую информацию:

    • имя и контактные данные ответственного лица;
    • контактные данные уполномоченного по защите данных, где это применимо;
    • цели, для которых обрабатываются персональные данные;
    • наличие права на подачу жалобы в надзорный орган, а также его контактные данные;
    • наличие права на получение информации и исправление или удаление персональных данных, а также ограничение обработки персональных данных субъекта данных ответственным лицом.

    В дополнение к указанной информации, в случаях, когда персональные данные собираются без ведома субъекта данных, ответственное лицо должно предоставить субъекту данных следующую информацию:

    • правовая основа обработки;
    • продолжительность, в течение которой хранятся персональные данные, или, если это невозможно, критерии для определения этого срока;
    • категории получателей персональных данных, в том числе получателей в третьих странах или в международных организациях, где это применимо.

    Информирование субъекта данных может быть отложено, ограничено или прекращено в той степени и до тех пор, пока это необходимо и соразмерно:

    • для предотвращения, раскрытия, расследования или судебного преследования за преступления или исполнения уголовных наказаний;
    • для защиты общественной безопасности;
    • для защиты национальной безопасности;
    • для защиты конституционных институтов Австрийской Республики;
    • для военной защиты или защиты прав и свобод других лиц.

    Каждый субъект данных имеет право получить подтверждение от оператора о том, обрабатываются ли его персональные данные. В этом случае он имеет право на получение более подробной информации о персональных данных:

    • происхождение данных;
    • цели обработки и ее правовая основа;
    • категории персональных данных, которые будут обрабатываться;
    • получатели или категории получателей, которым были раскрыты персональные данные, в частности получатели в третьих странах или в международных организациях;
    • если возможно, запланированный срок, в течение которого будут храниться персональные данные, или, если это невозможно, критерии для определения этого срока;
    • наличие права на исправление или удаление персональных данных или ограничение обработки персональных данных субъекта данных ответственным лицом;
    • наличие права на подачу жалобы в Орган по защите данных, а также его контактные данные.

    Каждое заинтересованное лицо имеет право немедленно потребовать от ответственного лица исправления касающихся его неточных персональных данных, а также заполнения неполных персональных данных. Исправление или дополнение может быть сделано с помощью дополнительного заявления. Ответственность за подтверждение точности данных лежит на контролере, если персональные данные не были получены исключительно на основе информации, предоставленной субъектом данных.

    Контролер и обработчик данных

    Контролер —  физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими принимает решение о целях и средствах обработки персональных данных.

    Обработчик данных — физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени контролера.

    Обязанности контролера и обработчика данных соответствуют требованиям GDPR.

    Два или более ответственных лица, которые совместно определяют цели и средства обработки, являются совместными ответственными лицами.

    Трансграничная передача

    Передача персональных данных в третью страну или международную организацию осуществляется в соответствии с законодательством Европейского союза.

    Уполномоченный орган

    Datenschutzbehörde (DSB) является национальным органом по защите данных в Австрии. Указанный орган наделен полномочиями в отношении всех государственных и частных организаций.

    Ответственность

    Гражданско-правовая ответственность 

    DSG требует, чтобы гражданские иски по вопросам защиты данных подавались в один из 16 региональных судов (Landesgericht — LG), а не в районные суды (Bezirksgericht — BG). В соответствии с национальным процессуальным законодательством все стороны должны быть представлены адвокатом.

    Апелляции могут быть поданы в один из четырех высших региональных судов (Oberlandesgericht — OLG) и далее в Верховный суд Австрии (Obererster Gerichtshof — OGH). При этом 6-я палата Верховного суда Австрии является специальной палатой по вопросам защиты данных.

    Административная ответственность

    Административное правонарушение образуют действия (покушение также наказуемо):

    • получение умышленно незаконного доступа к обработке данных или умышленное поддержание заведомо незаконного доступа;
    • умышленная передача данных в нарушение конфиденциальности данных, а равно умышленно обработанные данные для других незаконных целей;
    • умышленное получение персональных данных в соответствии с разделом 10 под предлогом ложных фактов.

    Если деяние не является следствием деяния, предусмотренного статьей 83 GDPR, или если не грозит более суровое наказание в соответствии с другими положениями об административных правонарушениях, перечисленные административные правонарушения наказываются штрафом в размере до 50 000 евро.

    Уголовная ответственность

    Использование, раскрытие или разглашение персональных данных, которые были доверены или стали доступны исключительно в связи с профессиональной деятельностью, или которые получены незаконно, самостоятельно, несмотря на то, что заинтересованное лицо имеет право на конфиденциальность этих данных, совершенные с корыстной целью наказывается лишением свободы на срок до одного года или штрафом.

     

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению М.Г. Тепляковой на законодательство Австрийской Республики

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.